基于密碼的云計算虛擬化安全研究

摘要：虛擬化技術應用于新一代云計算數據中心，能夠為云計算發展提供基礎設施支撐，通過研究以密碼技術為基礎的云計算虛擬化安全防護技術，能有效提高云計算技術的安全性、云數據的機密性，保護用戶的信息安全，但該項研究難度較高，本文從云計算虛擬化網絡典型結構與訪問應用模式著手，介紹虛擬化網絡環境下用戶的安全用網需求，對密碼的虛擬化安全解決方案進行探究，旨在日后相關人員對其進行研究時能夠提供參考。

關鍵詞：密碼安全；云計算技術；虛擬化設計

一、引言

云服務已經成為現代網絡用戶歡迎的重要服務之一，用戶可依托云服務平臺隨時進行數據的上傳、儲存、分享和下載，釋放大量硬件設備儲存空間，而虛擬化技術在其中能夠為云服務，提供基礎設施支撐。在云計算數據中心服務用戶的過程中，如何讓云中各類型的用戶安全地使用網絡無縫連接云計算服務，擴展虛擬化技術構建數據中心的靈活性和擴展性以成為云計算數據中心構建過程中必須要解決的問題，為滿足此需要相關人員在進行構架過程中，需要運用主流防火墻虛擬化技術、VLAN安全區化技術等保護云數據中心數據不被竊取或泄露，確保云虛擬機之間的通信保護為用戶密碼提供安全服務。

二、云計算虛擬化網絡典型結構與訪問應用模式

云計算的基本結構包括三個方面：服務器、網絡和存儲，還可將網絡進一步劃分為跨數據中心網絡、數據中心網絡和泛在云接入網。其中跨數據中心網絡的功能是為數據中心進行數據交換、遷移、備份、中心混合等用途提供服務；數據中心網絡則由包含多層服務器的局域網、連接計算主機、邊緣虛擬網絡等共同構成；泛在云接入網主要功能是連接終端用戶和數據中心，使二者能產生交互。

本文的研究重點是利用虛擬網絡技術對數據中心進行訪問，并保護云計算虛擬數據中心的安全的可行技術措施。由于在虛擬化的基礎上，存在著海量的虛擬機存取計算資源的安全性問題。該系統由核心層交換機、接入層交換機、虛擬交換機組成。由于采用了云技術，數據中心的網絡必須要處理大量的流量、大量的備份和大量的虛擬機的流量，這就要求核心級的網絡必須要有海量的數據和足夠的訪問容量。訪問層交換器需要具有多種可擴展性和新型的以太網絡技術，其中包含了非破壞性的以太網絡技術。

虛擬交換是指在實體服務器中利用虛擬機管理員（Hypervisor）層虛擬出對應的開關和網絡卡的功能，實現與之對應的虛擬主機虛擬網卡（vNIC）之間的互聯，并設置VLAN標記的功能，從而實現對不同網絡卡的訪問。管理程序為每一臺虛擬機建立一個或多個 NICs，連接管理器中的虛擬開關，以實現虛擬機之間的通信。管理程序也支持虛擬開關與實體網絡之間的通信，并能有效地與外界網絡通信，例如開放源碼開放 Switch等虛擬開關。以CtrixXen為基礎的虛擬技術（與其他VmwareESX、KVM、Hyper-V等都是可參考的），對用戶與虛擬用戶接口的接口進行了深入的探討。

首先，遠程用戶使用諸如ICA之類的遠程臺式機（Vmware使用PCoIP）訪問數據中央主機上的用戶虛擬化接口。ICA技術利用Xen的Ctrix虛擬系統的特殊技術，實現屏幕、按鍵、鼠標操作數據與服務器端的數據進行交互，實現了基于Hypervisor的獨立服務防護，實現了與本地電腦客戶操作系統相適應的用戶使用經驗。此外，在管理領域OS中還可以對不同的外設進行真正的控制，使用后端的驅動模組與一組裝在一個虛擬機上的前端驅動模組進行通信，以達到對各個使用者的虛擬性裝置的驅動。

其次，顧客虛幻化終端機可以通過虛幻網卡、虛幻的資料交換器（包括在實體系統中的分布虛幻化的資料交換器）來實現與虛幻化的最終使用者的高速網絡交換，以及在使用各種不同的應用程序的情況下，通過虛化裝置實現移動的能力。在這種情況下，分布式的虛擬機可以實現多臺實體服務器間的虛擬交換，從而實現多臺設備間的虛擬交換機的互聯，從而實現多臺設備與其他主機的虛擬交換機的互聯，從而簡化了虛擬機的切換（或其虛擬界面）。

三、虛擬化網絡環境下用戶的安全用網需求

（一）用戶接入的網絡安全需求

在應用虛擬網技術時，需要有關部門保證虛擬裝置在數據中心能夠可靠、可控地、安全地執行相應的虛擬業務。必須在大型的資料中心上強化公司的認證與存取，并強化ICA及臺式機的保密保護。

（二）虛擬機交互過程中的安全需求

云計算虛擬機的數據保護方式與普通網絡保護方式有很大差別，虛擬化中，一個實體的虛擬主機被虛擬化成多個虛擬機，VM中的數據流會被一個虛擬的交換器傳遞，而這個過程中，每個VM的數據都是不可控制的，也是看不見的，但是，根據這個需求，每個VM都要被劃分到相應的信息保護區域，以便隔離和使用，并且為了確保虛擬機的內部通信數據，為了避免虛擬交換的混合方式或者接口圖的設置，來監視具有多個用戶群的虛擬機的內部通信信息。此外，為了避免由一個或多個實體或甚至是一個數據中心的移動過程造成的使用者資訊泄露也是必要的。

（三）數據中心之間的網絡安全需求

一般情況下，在數據中心的系統需要大量的數據處理，而對于大型的數據處理系統，則需要一個大型的二級數據處理系統（包括一個多個數據處理的數據處理系統）。需要在信息中心的邊緣設置防火墻系統、入侵檢測等傳統的安全性措施，并對各信息站之間的數據進行保密保護。

四、基于密碼的虛擬化安全解決方案

（一）方案框架

虛擬化的網絡安全性技術架構主要有： UKey的安全性虛擬化終端、服務器端高速密碼模組（ENC）虛擬化、虛擬機數據原生存儲加密、虛擬機之間虛擬化的虛擬網加密 fVPN）、相關密碼密鑰管理等核心技術。

（二）設置合理的網絡安全機制

1.以UKey為核心的安全虛擬化終端

虛擬機登錄方式較多，如應用用戶終端、 ICA等的遠程桌面登錄方式等，選擇合適的虛擬機界面。從安全要求的角度出發，要從安全、可信和可控的角度來考慮虛擬終端的安全問題。為了達到這一目的， UKey采用了一個vKey，加載了一個用來加強身份驗證的用戶標識，并提供對稱和非對稱密碼操作的能力。

①vKey的管理。虛擬機管理區內的vKey管理模塊是為了給各個虛擬化的終端配置和管理 vKey，并將 USBKey綁定在一起。vKey管理模塊是vKey后臺驅動來實現與Hypervisor的交互，然后再與其他的用戶進行虛擬的連接。在要求對vKey裝置進行存取時，vKey的前端會向vKey后臺驅動發出一個口令函數呼叫指令；vKey后臺驅動會從該vKey信道編號中查找相應的vKey裝置識別碼，并將該數據包輸入該vKey Package，再將該VKey數據流發送至vKey Management；vKey管理模塊按照用戶識別的方式向對應的vKey組件（vKeyl-vKeyN）發送指令，并在UKey的實際驅動下，使用USBKey與USBKey之間的命令進行互動。在此過程中，vKey的后臺和前端的驅動程序將所得到的結果反饋到虛擬終端。

②認證。在虛擬和虛擬兩個方面，對ICA的軟件進行了升級，從最初的 UKey認證和認證的方式升級到了在服務器和虛擬服務器上的數字憑證的認證方式。在服務器端 UKey和虛擬化 Server中，每個都擁有認證系統所供應的數字證書，經過了雙方的身份認證。而在驗證程序的互動中，所有的口令登錄都必須在 UKey中進行，也可以在用戶端使用口令登錄。當執行一個數字憑證的雙向認證時，虛擬機和虛擬機的虛擬機終端和信息管理區將會由一個不同的 UKey（vKey）來一一地對應并捆綁各個虛擬機客戶端的組態數據信息，由此保證認證的遠程用戶能夠利用符合他們的識別數據的個人化虛擬終端。

③通信加密。像 ICA這樣的遠程臺式機協議，已為諸如 SecureICA之類的可選的機密機制提供了一個保證 ICA用戶和服務端協議的數據資料的機密性。在與 Ctrix等廠商進行技術上的配合后，保密的技術將會得到進一步的完善，從而達到保密的目的（例如，將SM1-SM4加密技術替換為商業應用中的SM1-SM4加密算法），然后利用 UKey和服務器極限加密控制器中的特殊加密算法實現對 ICA的加密。

2.服務器端高速密碼模塊虛擬化

云計算虛擬化服務器具備快速加密能力，可以將加密的函數進行模塊化，使VENC可以提供給所有的 VENC，也可以對虛擬化的用戶和管理員進行共享，并利用 vKey來完成對多個主機的密鑰的控制。以下是詳細的工作原理：

①在虛擬機Manager （Xen）上面的管理區包括 ENC （ENC真正的驅動器）和vENC的后臺驅動器（vENC）。每一個使用者的虛擬機或虛擬機的服務器都包括一個 vENC的前端驅動器，它與一個被稱作「虛擬或 PV」的管理域的 ENC驅動器合作，以執行對多使用者的虛擬機或服務器的虛擬裝置的虛擬支援。

②還可以通過sIngle-rOOtI/Ov或irtualization （SR-iov）技術來將 ENC的虛擬化功能簡單地映射到服務器上，從而達到 ENC器件的性能和隔離安全性，無需使用任何技術就可以達到很高的性能。

③ ENC模塊自身也可以利用多個承租者同時使用的密匙管理方法。ENC組件自己也可以從認證管理體系獲取自己的裝備憑證和私有密鑰對（ENC組件中嵌入私有密鑰SK-ENC）。利用 ECC的橢圓形曲線公開密鑰對U-WK進行加密，從而獲得U-WK’= ECC （PK-ENC、U-WK），將U-WK’插入到 ENC的使用者密鑰中，從而可以有效地對多個租戶進行數據的并行處理。

3.虛擬機數據本機存儲加密

由于在云應用場景下，虛擬機數據普遍處于幾種應用狀態，建立合理的隔離機制能有效防止用戶竊取虛擬機上的數據，或因用戶不當操作造成虛擬機數據的丟失，但數據在數據中心服務器端仍處于明態，該種數據保護方式會在一定程度上阻礙云服務的廣泛推廣和應用。但可通過UKEY為虛擬機數據本機進行加密，通過對虛擬磁盤或文件系統設置密碼，讓用戶在虛擬機終端上對數據進行再次加密，既能保障虛擬機中數據的安全性，又有利于用戶對數據進行私密化儲存。但需要注意的是，若使用ICA協議方式對虛擬機中的數據進行映射和交互，必然會導致云空間中的數據利用率降低，可將其和云端中的高速加密服務進行結合，使用vKEY幫助用戶獲取密鑰，提高虛擬化端口中的加密效率。

4.虛擬化網絡加密VPN

由于虛擬用戶電腦終端操作系統和虛擬化服務器操作系統的Internet傳送都是通過虛擬交換機來完成的，它們具有與存儲空間的速度相對應的高速交換功能，但是因為缺少保密措施，所以需要從虛擬操作系統這個通信源頭上進行 VPN等安全保密管理，從而確保用戶在端到端的通信安全。

① VPN在 VPN中的虛擬機之間進行密碼。可以根據一個用戶群體中的一個特定的用戶來制定一個網絡安全政策，或者是一個獨立的用戶。安全策略包括：虛擬計算機應該與哪一網絡進行通信、與哪一網絡進行通信、如何利用地道或傳送封裝工作模式、網絡加密工作密鑰的轉換時間、網絡訪問在什么情況下的中斷、網絡訪問的默認情況下的網絡訪問策略等。為了實現對Web站點的接入政策和安全的控制，Linux系統是在NetFilter體系結構中增加 VPN處理模塊實現的，Windows系統是在 NDIS上增加 VPN處理器來實現的。對于需要口令的消息，可以采用 vENC所建議的口令呼叫端口來實施口令；被請求接收和譯碼的消息，也會在相應的加密端口下被解除加密，然后被送到它的虛擬的上層網絡堆疊中。在此基礎上，基于信息安全策略，通過對IP包進行濾波，并在發生安全事件時，通過對 IP包進行自動觸發，對需要使用密碼的信息進行保護，但是沒有相應的N-WK的功能，通過該協議過濾器模塊觸發事件，并按照該信息安全政策，啟動對系統應用層的加密協定和密鑰變換過程。N-WK交換可以在另一方所提供的憑證公開密鑰的支撐下進行，并且N-WK可以被周期性地升級，這取決于安全性政策的需求。

② VPN在不同的數據中心進行安全防護。由于每個數據交換網絡的安全性和防衛邊界比較明確，因此它的網絡加密問題只有在傳統VPN業務的基礎上才能得到有效的解決。

③在 VPN信道的基礎上實現虛擬化的安全性。在虛擬環境下，通過虛擬網絡在網絡中的通道來保證虛擬環境中的狀態信息、應用數據信息、網絡安全設置信息和安全策略信息。

（三）方案效能與特點分析

在基于密碼的云計算虛擬化技術基礎上，本文給出了一種針對虛擬網的安全性設計方法。本系統提供了從源頭上保證虛擬網的機密性、安全隔離和虛擬機用戶的信任驗證等重要安全措施，從而有效地克服了制約其廣泛使用的主要安全隱患。它的安全性有以下幾個方面：

①為建立在虛擬網基礎上的資料中心，保證資料來源的可靠性和保密。

②采用虛擬機技術、用戶虛擬終端存儲加密技術、端到端加密技術，實現了用戶終端與計算的高效、可靠的信息交互。

③為虛擬機在各領域間進行網絡密碼信道的管理，為虛擬機的移植提供了安全性保障。

④可將其與常規的網絡安全保護方法相融合，以滿足多個不同的數據中心對云的保護要求。

五、結束語

總而言之，隨著科學技術的快速發展，云計算技術快速走入各個領域中，為人們的生產生活提供更加便利的技術支持，但云計算技術也面臨著非常顯著的安全問題，為了更好地處理這些問題，相關部門可以利用虛擬技術建立相應的云平臺，以密碼為基礎加強對云計算虛擬化技術的研究，充分保障網絡安全。

作者單位：宋松 長春市德普信息技術有限公司

參" 考" 文" 獻

[1]黃昌熙，鄭志永，孫雪冬，等.云環境下基于國密算法的密碼服務平臺建設思路探討[J].中國新通信，2022，24（08）：110-112.

[2]鄧一星，蔡沂，王文翰.云計算技術下大規模用戶密碼安全認證算法[J].計算機仿真，2022，39（02）：141-144.

[3]任曉莉，楊建衛，李乃乾.云計算中基于動態虛擬化電子流密碼的安全存儲[J].計算機科學與探索，2019，13（08）：1331-1340.

宋松（1988.06-），男，漢族，吉林長春，專科，研究方向：網絡安全，信息安全，網絡安全法相關，國家網絡安全相關標準。